Androidスマートフォンの一部に「最初から」潜む脆弱性、新たに146件も見つかる
Androidスマートフォンの多くには、さまざまなアプリがプリインストールされたり、システムに組み込まれたりしている。これらのアプリに個人情報の流出につながる脆弱性が計146件も見つかった。
29社が発売しているスマートフォンの一部は、買ったときから“危険”な状態にあるというのだ。この問題には、Android端末ならではの課題も潜んでいる。
この安全性には、アップルが承認したアプリのみダウンロードできるという「App Store」のエコシステムが大きく貢献している。ところが、見落とされることもある。App Storeには、アップルの監視の目をすり抜けた悪意あるアプリが18個も含まれていたのだ。
これらの悪意あるアプリのうち17個は、モバイルセキュリティ企業のワンデラ(Wandera)によって発見され、すべて同じデヴェロッパーによるものだった。残るひとつもアップルが同様の手法を使って発見した。現在、これらはすべてApp Storeから削除されている(電卓からヨガポーズ集のアプリまで幅広いアプリが含まれていた)。
これらのアプリは、最近取り沙汰されている別のiOSの欠陥のように、被害者のデヴァイスからデータを盗んだり、デヴァイスをコントロールしたりすることはなかった。その代わりに、デヴァイスのバックグラウンドで見えない広告を流して広告収入を水増しするために、広告がクリックされたようにでっち上げていたのだ。
ちょっとしたきっかけで発覚
こうしたアドウェアは、Androidではよくみられる。これはAndroidプラットフォームのアプリストアに悪意をもったデヴェロッパーが数多くいることが一因だ。では、iOSはどうだろうかといえば、Androidほどではない。
アドウェアによってユーザーが被る最悪の影響は、バッテリーが早くなくなってしまうことと、データ使用料の請求が高額になってしまうことだろう。一方、iOSのマルウェアの最新事情で注目すべき点は、マルウェアが何をするのかではなく、どのように侵入してきたのかである。
これらのマルウェアは、ちょっとしたきっかけで見つかった。あるときワンデラのセキュリティソフトウェアが、顧客のiPhoneで発生した異常なアクティヴィティにフラグを立てた。ある速度計アプリが、コマンド&コントロール(C&C)サーヴァーと予期せぬ通信を行ったのだ。
このC&Cサーヴァーは、別のAndroid向けのキャンペーンにおいてアドフラウド(広告不正)を実施するマルウェアに指令を出しているとされたことがあった。要するに、このiOSアプリは不正な動作を行っていたのだ。
単純だが“スマート”な手口
ワンデラはそこから逆向きにたどっていった。このアプリのデヴェロッパーがインドのAppAspect Technologiesであることを突き止め、さらなるテストのために同社が提供する多数のアプリをiPhoneにインストールした。まず実施したのは静的解析だ。コードにじっくりと目を通し、悪意のある部分がないかを確認する。次は動的解析によって、遠く離れたサーヴァーへ悪意をもって外部接続していないかを探す。「普通だと、ここで怪しいアクティヴィティが見つかります」と、ワンデラの製品担当ヴァイスプレジデントのマイケル・コヴィントンは語る。「しかし今回、この段階では怪しいアクティヴィティは見つかりませんでした」
まったく何もだ。ヒントすら見つからなかった。しかしワンデラは調査を進めた。同社の標準的なテストセットアップでは、Wi-Fiに接続した数台のiPhoneを使っていた。大量のダウンロードが行われるので、結局のところ、そのデータすべてを使用する必要はない。しかし分析で行き詰ったあと、調査員たちはSIMカードを挿入すると何が起きるのかを見ることに決めた。
そして待った。数日後になって、17個のアプリが同じアドウェアサーヴァーにつながり始めたのである。
「これらのアプリはただ数日待つだけでなく、デヴェロッパーが意図したほかのコンテキストが揃うまで実際に待つような“知性”ももち合わせていました」とコヴィントンは語る。今回のケースでSIMカードの利用は、そのスマートフォンが実際のユーザーの所有物であることを示していた。つまり、セキュリティの調査員や、App Storeの承認のためにアプリのスクリーニングを行う人の目をかいくぐろうとしていたのだ。
単純だが賢い手口だ。そしてさらに重要なのは、今回のケースでこの手口が有効だったということだろう。こうしたアプリのひとつをダウンロードした場合、そのアプリはあなたが調査員などではなく実際のユーザーであることを確信できるまで、完全に普通のアプリであるかのように振る舞う。そして、ユーザーだと判断する段階まで来たときに、このアプリのボス、つまりC&Cサーヴァーに接続し、見えないクリックを生成するように指示を受けるのだ。
コードに潜む悪意
AppAspect Technologiesは質問に対して、この問題を認識していなかったとメールで反論した。アップルがアプリを削除したあとで初めてこの問題に気づいたのであり、現在はコンプライアンスの基本に立ち戻って取り組んでいるという。公平な立場から言えば、「アプリがこのような動作をしていることを知らなかった」という言い分はもっともだと言えるだろう。デヴェロッパーは、サードパーティーや無認可の製造元のコードをアプリの開発に組み込むことがある。このため誤ったコードを組み込んでしまった場合、簡単に、そして図らずもアプリを悪意あるものにしてしまう。
アップルは、今回より大きな規模の問題を経験したことがある。2015年には、一部のデヴェロッパーフォーラムがホストしたXcodeソフトウェアツールに、データを盗み出すコードが追加されていたのだ。その結果、多数の感染したアプリがデヴァイスに忍び込むことになった。
アドウェアは、それに比べれば深刻な問題ではない。そして再三になるが、iOSよりもAndroidに蔓延した問題だ。セキュリティ企業のESETはこのほど、「Google Play ストア」でアドウェアに感染したアプリを42個発見したと発表した。アプリのダウンロード数は数百万件にもなる。こうした事例はiOSでも前代未聞ではないが、特にこれほどの件数を出すようなケースは、Androidの場合よりもずっとまれだ。
「よく今回のマルウェアを見つけたと思います」とSudo Security Groupの創業者で、iOS向けGuardian Firewallアプリの開発者であるウィル・ストラファックは言う。
これらは「マルウェア」ではない?
この事実は、アップルのApp Storeのスクリーニング手順が思っているほど堅牢ではないということも示している。アドウェアに関しては特にだ。「アドフラウドはユーザーにとって実際に害のあるアクティヴィティとは関係ないので、アップルによる取り締まりの優先度はあまり高くないようです」とストラファックは話す。「アドウェアはアップルによるチェックの対象外でした。アドウェアが発見されたことによって、アップルがチェックする内容が少し変わったのではないかと思います」と、ワンデラのコヴィントンは話す。
この点において、アップルは同社の規定に違反しているアプリを削除したこと、および今後このような禁止アクティヴィティをもっと検出できるようにスクリーニングツールをアップデートしたことを認めている。
しかし同時に、これらを「マルウェア」と呼ぶことについては異議を唱えている。アドフラウドはスマートフォンの使用体験を直接妨害したり、スマートフォンからデータを盗んだりするものではないからだ。つまり、権威主義国家がもしかしたら実施しているかもしれない大規模な監視行為とは、わけが違うということだ。
より大きな問題
マルウェアの定義はさておき、おそらくiPhoneの所有者のほとんどは、App Storeでアプリを探す際に、クリックをでっちあげるようなアプリが見つからないことを望むだろう。しかし今回の問題は、そうしたことが起こりうるもので、実際に起こったという教訓になる。「このようなアプリを取り締まったり、防止したりするのは本当に難しいと思っています」と、サイバーセキュリティ企業マルウェアバイツ(Malwarebytes)でMacおよびモバイルリサーチディレクターを務めるトーマス・リードは語る。
「こうしたことが起きたというのは、そこまで大きな問題ではありません。元来は避けられないことですから。それより問題なのは、人々が非現実的なレヴェルの信頼をアップルのApp Storeに寄せてしまっていることです。まるでかつて多くの人が『Macはウイルスに感染しない』と信じ込んでいたように。
